用反向代理是不是能避免被扫描端口发现开放的服务?
刚开始接触反代,不太清楚自己的理解对不对。我现在用lucky做反代,假设A.XYZ.CN:12345指向我的alist服务器。
然后有人用软件对我的IP或XYZ.CN扫描全部端口,是不是只要他不知道我在反代里设置的二级域名A,就没法发现我开放的这个alist? 本帖最后由 moondigi 于 2024-2-21 13:51 编辑
我只用nginx
1.启用https,禁止纯ip访问
2.自己签一个证书,域名例如是haha.163.com
3.客户端信任你自己的ca,改host》你的ip haha.163.com
不理解,如果都明确ip 扫ip 了,还和域名有什么关系呢…… 理论上是这样的。这样路由器就只要映射一个端口出来就行了。
不过二级域名输入还是麻烦,要么弄个导航页,要么还是Wiregurad 直接回家方便。 董卓 发表于 2024-2-21 14:15
不理解,如果都明确ip 扫ip 了,还和域名有什么关系呢……
我的理解是:
直接映射服务的端口,那么有人访问IP:端口就能看到我的服务,所以用端口扫描很容易发现映射的服务。
用反代,只开反代的端口,那么从外网只能访问到反代,然后反代会比对来访的域名再决定是否转发到服务上。
所以开了反代,扫描IP就没用了,只能用设置好的二级域名加端口来访问。 chinesepy 发表于 2024-2-21 14:45
理论上是这样的。这样路由器就只要映射一个端口出来就行了。
不过二级域名输入还是麻烦,要么弄个导航页, ...
弄了导航页了。
之前弄wireguard感觉还是麻烦,每台设备都要配置密钥。 反代比对域名,正确就转发上游服务器,这个可行。
我之前搞了个更复杂的对付联通宽带主动扫web端口,首先haproxy检查sni(域名)如果正确转发到nginx,nginx检查域名后的子路径是否正确,如果正确就转发到最终服务。
最终效果:
使用IP+端口不能访问,无TCP回包
使用IP+端口不能建立SSL连接
使用域名+端口不能访问,无TCP回包
使用域名/路径+端口正常https访问
由于路径是在https加密的,域名在sni是不加密的,防止运营商抓到域名进行探测。 借楼问下有ipv6有公网,有啥安全傻瓜远程组网的办法吗,看了下Zerotier,Tailscale等等一大堆,不知道哪个比较适合小白
—— 来自 S1Fun 你挂个SS服务器 只暴露它的外网端口 所有内网相关操作连回去再玩 宽带给的上传就那么点 也不怕它跑起来吃多少CPU noahhhh 发表于 2024-2-21 15:26
借楼问下有ipv6有公网,有啥安全傻瓜远程组网的办法吗,看了下Zerotier,Tailscale等等一大堆,不知道哪个 ...
Zerotier,Tailscale已经很傻瓜,两个用法都差不多,两个都试过Tailscale打洞比较快 本帖最后由 hrha 于 2024-2-21 18:14 编辑
本帖最后由 wdw 于 2024-2-22 02:45 编辑
HTTP的话,你给反代加个BA不就行了,别人扫到了也不知道是啥
别的我现在都用Cloudflare的Zero Trust解决了
我用的Nginx,cf套一层代理,服务器只开放443和ssh端口,Nginx监听443基于SNI转发不同域名的流量到不同的后端服务
—— 来自 motorola XT2301-5, Android 14上的 S1Next-鹅版 v2.5.2-play 木谷高明 发表于 2024-2-21 15:16
反代比对域名,正确就转发上游服务器,这个可行。
我之前搞了个更复杂的对付联通宽带主动扫web端口,首先h ...
请问你这方法的这些东西都是本地配置还是需要云服务器? xiaoyaowuming 发表于 2024-2-22 11:31
请问你这方法的这些东西都是本地配置还是需要云服务器?
百元硬路由刷openwrt,软件包里装了nginx和haproxy就行,布在nas或者玩客云这些也行 我用的**反代,这样开着**也能访问家里的服务器 小贝伦 发表于 2024-2-21 16:05
Zerotier,Tailscale已经很傻瓜,两个用法都差不多,两个都试过Tailscale打洞比较快 ...
tailscale 确实傻瓜,老爸老妈都能教会 木谷高明 发表于 2024-2-22 12:45
百元硬路由刷openwrt,软件包里装了nginx和haproxy就行,布在nas或者玩客云这些也行 ...
那你这个方案有没有啥教程?如果百元硬路由都行我是软路由肯定也没问题 各位用反代的,我想问一下你们服务器的带宽够吗? 你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。
—— 来自 HUAWEI ALN-AL00, Android 12上的 S1Next-鹅版 v2.5.4 288794 发表于 2024-2-22 18:21
在路由器上配置好就可以了,为啥要每台都配置。
家里这边是路由器,但外面的手机、笔记本、工作用台式机要想连都需要分别配置一次不是吗 lhw369 发表于 2024-2-22 19:51
你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。
—— 来自 HUAWEI ALN-AL00, ...
单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢,这标记了能有啥用。 lhw369 发表于 2024-2-22 19:51
你以为人家扫描要看你站点是啥。实际扫描是你端口处于listen状态就标记你了。
—— 来自 HUAWEI ALN-AL00, ...
对,最好扫出来是DROP/REJECT 风怒 noneoneone 发表于 2024-2-22 20:05
单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢,这标记了能有啥用。 ...
pcdn设备也会用upnp开端口 理论上你需要对不符合的域名连接设置对应的错误码返回值,这样会安全一些
另外一个域名你只要尝试用第三方DNS解析了、或者主动连接了,或者签发了针对单域名的证书,就有可能会泄露出去,从而触发爬虫扫描。所以总体上你这个方案并不能保证其它人不能扫你。
安全的方案是想办法提供统一的内网接入,域名解析放内网 木谷高明 发表于 2024-2-21 15:16
反代比对域名,正确就转发上游服务器,这个可行。
我之前搞了个更复杂的对付联通宽带主动扫web端口,首先h ...
nginx一个就行了,非有效域名就ssl_reject_handshake,非有效路径就return 444 moondigi 发表于 2024-2-23 20:26
nginx一个就行了,非有效域名就ssl_reject_handshake,非有效路径就return 444
感谢指教 moondigi 发表于 2024-2-23 20:26
nginx一个就行了,非有效域名就ssl_reject_handshake,非有效路径就return 444
traefik可以做到这个么 只能算好了一点,个人感觉风险偏高。
首先你的反代端口还是暴露的,端口会被扫到。
其次7层反代你不做什么处理的话等于公开这里有个http服务,虽然请求被拒绝了。
另外域名并不是什么保密的信息,可能在各种途径泄露。然后是如果有人拿到你的域名后怎么样? noneoneone 发表于 2024-2-22 20:05
单是被扫描到监听端口无所谓吧。那么多软件都会用upnp开端口呢,这标记了能有啥用。 ...
大家都用udp就你用tcp不说,其他的入站流量都能看出是什么应用,就你的神神秘秘,不抓你抓谁
页:
[1]